none
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера %user_name% RRS feed

  • Вопрос

  • Почему в ошибке вместо имени сервера указывается имя пользователя (ck2007)? Что не неверно настроено?

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера ck2007. Использовалось целевое имя host/ck11-aip-rdu. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (OIKTEST.LOCAL) отличается от домена клиента (OIKTEST.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    27 июля 2018 г. 8:20

Все ответы

  • Почему в ошибке вместо имени сервера указывается имя пользователя (ck2007)? Что не неверно настроено?

    Наверное, потому, что служба, к которой произошло обращение, выполняется под учетной записью этого пользователя. Например, это может быть веб-приложение в рамках веб-сайта в IIS: при отсутствии в AD учетной записи c SPN с именем веб-сайта и классом службы HTTP производится попытка найти запись с классом службы HOST и тем же именем. Есть и другие классы служб, вместо которых может использоваться класс HOST.

    Соответственно, вам нужно понять, к какой службе (скорее всего - на компьютере ck11-aip-rdu, если у вас с DNS всё в порядке) было обращение, и добавить SPN с нужным классом службы и именем ck11-aip-rdu для учетной записи пользователя ck2007


    Слава России!


    • Изменено M.V.V. _ 27 июля 2018 г. 9:13
    27 июля 2018 г. 9:12